News
5 Jahre SwissCybersecurity.net

Wenn Angriffe denken lernen: Cyberabwehr unter KI-getriebenem Angriffstempo

Uhr
von Reinhold Zurfluh, Head of Marketing, Infoguard

Nicht der Alarm schreckt den CIO auf, sondern die Erkenntnis, dass der Angriff längst läuft. Systeme fallen aus, der CISO meldet verdächtige Aktivitäten, Zuständigkeiten sind unklar: Währenddessen verschärft sich die Lage weiter. Was vor fünf Jahren reaktiv beherrschbar schien, greift heute zu kurz. Cyberangriffe eskalieren nicht mehr linear, sondern adaptiv, während Entscheidungsfenster von Stunden auf Minuten schrumpfen. Cyber Defence steht damit am Wendepunkt. Die zentralen Faktoren dieser veränderten Angriffsdynamik? Eine Einordnung.

    (Source: Angelina / stock.adobe.com)
    (Source: Angelina / stock.adobe.com)
    Der Autor: Reinhold Zurfluh, Head of Marketing bei Infoguard. (Source: zVg)
    Der Autor: Reinhold Zurfluh, Head of Marketing bei Infoguard. (Source: zVg)
    /

    Situationen wie diese sind längst keine Ausnahme mehr. In der Cyberabwehr markieren sie die Verschiebung vom Technologie-Fokus zur operativen Entscheidungsfähigkeit auf Führungsebene.

    Wenn reine Abwehr nicht mehr genügt

    Heutige Cyberangriffe verlagern sich vom Rand des Netzwerks in den laufenden Betrieb: gesperrte Konten, ungewohnte Zugriffe, eine sprunghafte Zunahme der Alarme – und die Frage, ob es sich um eine Fehlkonfiguration, eine Störung oder um einen koordinierten Angriff handelt. Während noch abgeklärt wird, verschiebt sich die Lage.

    Hier stösst klassisches Abwehrdenken an seine Grenzen. Prävention bleibt Pflicht, ihr Wirkungshorizont jedoch begrenzt. Passen Cyberkriminelle Taktik und Ziel während eines laufenden Angriffs an, versagen sequenzielle Abläufe, lange Eskalationsketten und unklare Entscheidungsbefugnisse.

    Cyber Defence wird damit zur organisatorischen Disziplin: Wer früh einordnen, priorisieren und begrenzen kann, bleibt handlungsfähig.

    Cyber Defence vor fünf Jahren: ein Modell seiner Zeit

    Noch vor einigen Jahren galten Sicherheitsvorfälle als beherrschbare Ausnahmefälle. Cyberangriffe liessen sich erkennen, eingrenzen und sequenziell abarbeiten. Prävention stand im Zentrum, Detektion und Reaktion setzten ereignisbezogen ein.

    Dieses Abwehrmodell folgte einer stringenten Logik. Angriffsketten verliefen weitgehend sequenziell, Eskalationen entlang klar definierter Stufen. Zuständigkeiten liessen sich geordnet aktivieren, Entscheidungen aufgrund konsistenter Lagebeurteilungen treffen. Für die damalige Bedrohungsdynamik funktionierte dieser Ansatz.

    Cyber Defence war damit primär eine technisch-prozessuale Disziplin. Stabilität, Kontrolle und Regelhaftigkeit standen im Vordergrund – passend zu einer Angriffswelt, die Zeit für Einordnung und Reaktion liess.

    Beschleunigung durch Ökonomisierung des Cybercrime

    Cybercrime ist heute nach den USA und China die drittgrösste Volkswirtschaft. Der globale Schaden erreicht heute Dimensionen, die klassische kriminelle Märkte wie den Drogenhandel übersteigen. Das Big Business folgt inzwischen industriellen Logiken: Initialzugänge werden vermarktet, Angriffe automatisiert, Erpressung und Monetarisierung ausgelagert. Ransomware-as-a-Service, Partnerprogramme und spezialisierte Rollen senken die Eintrittshürden und erhöhen Tempo, Reichweite und Anpassungsfähigkeit.

    Cyberkriminalität wird damit ökonomisch steuerbar. Aufwand, Ertrag und Risiko lassen sich kalkulieren, Forderungen am Umsatz der Opfer ausrichten, Vorgehen iterativ schärfen. Angreifende operieren nicht mehr statisch, sondern passen ihr Vorgehen während des laufenden Geschehens situativ an – abhängig davon, welche Abwehrmassnahmen greifen und wo neue Angriffsflächen entstehen.

    Diese Ökonomisierung markiert den strategischen Wendepunkt: Sie beschleunigt Angriffe zugunsten der Cyberkriminellen.

    Cyber Defence im Betrieb: vom Schutz zur Entscheidungsfähigkeit

    Mit der Beschleunigung der Angriffe verlagert sich Cyber Defence grundlegend. Abwehr findet nicht mehr punktuell im Ereignisfall statt, sondern fortlaufend. Das Security Operations Center (SOC) übernimmt dabei eine zentrale Rolle – nicht als reine Überwachungsstelle, sondern als permanenter 24/7 personell besetzter Entscheidungs- und Reaktionsraum.

    Noch vor wenigen Jahren beschränkte sich das SOC primär auf Monitoring und Alarmierung. Heute begleitet es Angriffe aktiv. Detektion, Reaktion und Wiederherstellung greifen dabei ineinander und sind nicht mehr isoliert zu betrachten. Pre-Breach- und Shift-Left-Ansätze verlagern den Fokus darauf, Risiken früh zu erkennen, bevor Angriffe greifen.

    Voraussetzung dafür ist die ganzheitliche Sichtbarkeit über die Angriffsfläche hinaus: von IT- und OT-Umgebungen über Cloud-Dienste bis zu Identitäten.
    Künftig wirkt die Cyberabwehr nur, wenn Erfahrungen aus laufenden Angriffen unmittelbar in legitimierte Entscheidungen einfliessen. Analyse und Entscheidung erfolgen parallel, nicht als Ausnahme, sondern als neue operative Normalität.

    KI als Game-Changer: Human-AI-Teaming als Zukunftsmodell 

    Zunehmende Geschwindigkeit und Komplexität moderner Angriffe lassen sich ohne Automatisierung nicht mehr bewältigen. KI wird damit zur operativen Voraussetzung. Sie beschleunigt, filtert, strukturiert Informationen und schafft Entscheidungsgrundlagen – entscheidet jedoch nicht. Diese Verantwortung bleibt beim Menschen.

    Denn Kontextverständnis, Erfahrung und Verantwortung lassen sich nicht in Algorithmen übersetzen. Entscheidungen in der Cyberabwehr betreffen die operative Stabilität ebenso wie Haftung und Vertrauen. Die Verantwortung für ihre Folgen ist deshalb nicht an Maschinen delegierbar.

    Mensch und Maschine – ein Team? Der Begriff Human-AI-Teaming steht für eine klare Arbeitsteilung: KI liefert Übersicht und Tempo, der Mensch trifft legitimierte Entscheidungen. Wo dieses Zusammenspiel bewusst gestaltet ist, entsteht zeitgemässe Resilienz. Transparenz, Nachvollziehbarkeit und Human-in-the-Loop sind dabei keine Zusatzoptionen, sondern Voraussetzung wirksamer Cyber Defence unter Echtzeitbedingungen.

    Führung und Governance: der unterschätzte Faktor

    Eskalierende Angriffe verlangen Handlungsfähigkeit. Und sie fordern Führung. Wer entscheidet? Wer kommuniziert? Was hat Priorität, wenn die Lage unklar ist?

    Diese Verantwortung ist heute klar auf Führungsebene verankert und Teil wirksamer Governance. Anders als noch vor einigen Jahren wird Cyberresilienz auch regulatorisch explizit eingefordert. Vorgaben wie NIS-2, DORA oder der Cyber Resilience Act (CRA) verankern Verantwortung explizit in der obersten Führungsebene. Führung definiert Zuständigkeiten, legitimiert Entscheidungsbefugnisse und stellt sicher, dass Cyber Defence und Incident Response vorbereitet und überprüft sind, bevor Zeitdruck entsteht.

    Regulatorik setzt den Rahmen und erhöht den Druck, garantiert jedoch keine Handlungsfähigkeit. Zentral ist, ob Entscheidungslogiken, Zuständigkeiten und Eskalationswege im Ernstfall tragen. Hier zeigt sich der Unterschied zwischen formaler Governance und gelebter Führung.

    Tabletop-Übungen und Krisensimulationen klären, ob strategische Führung, Governance, Krisenorganisation und Incident Response im Ernstfall wirken, denn Handlungsfähigkeit entsteht nicht in Dokumenten, sondern in geübten Entscheidungen.

    Ausblick: Cyber Defence als lernendes System

    Die Angriffsdynamik der Gegenwart lässt kaum Raum für Verzögerung. Angriffe sind schneller, präziser und zunehmend KI-gestützt. Die Folge: Entscheidungsfenster schrumpfen, Unsicherheit wird zum Normalzustand. Cyber Defence ist damit kein Projekt mit Enddatum, sondern ein fortlaufender Lernprozess.

    Damit verschiebt sich der Anspruch an die Führung. Handlungsfähigkeit entsteht dort, wo Rollen geklärt, Abläufe etabliert und Entscheidungen nachvollziehbar getroffen werden – selbst wenn Lageeinschätzungen unvollständig bleiben und Zeit der limitierende Faktor ist.

    Die heutige Bedrohungslage erfordert daher ein Zusammenspiel der Kräfte. Mensch, Prozesse und Technologie müssen ineinandergreifen – nicht starr, sondern lernfähig.

    Cyberresilienz von morgen entscheidet sich heute

    Wie resilient Organisationen morgen sind, hängt davon ab, wie konsequent sie Cyber Defence heute organisieren. Ein 24/7-SOC – durchgehend personell besetzt – bildet dabei den Dreh- und Angelpunkt, wo menschliche Expertise und KI-gestützte Unterstützung zusammenwirken. Human-AI-Teaming steht nicht für Automatisierung um jeden Preis, sondern für die gezielte Entlastung und Schärfung menschlicher Entscheidungen. Erkenntnisse aus realen Vorfällen, Übungen und neuen Angriffsmustern fliessen dabei kontinuierlich in die tägliche Abwehrarbeit ein.

    Cyberresilienz entsteht dort, wo dieses Lernen nicht zufällig bleibt, sondern strukturell verankert ist. Die Fähigkeit der Cyber Defence, künftiger verhaltensbasierter Angriffsdynamik standzuhalten, entscheidet sich daran, ob Organisationen kontinuierliche Anpassung institutionalisieren und der Gegenseite so auf Augenhöhe begegnen.

     

    Zur Feier des 5-Jahre-Jubiläums von Swisscybersecurity.net erscheint auf dem Info-Portal ein Dossier voller spezieller Jubiläumsartikel mit technologischen Rückblicken, Analysen aktueller Marktentwicklungen und einem Ausblick auf kommende Trends. Alle Beiträge zum Jubiläum finden Sie hier im Dossier.

    Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

    Zum Thema
    Tags
    Cybersecurity
    cyberkriminalität
    infoguard
    Jubiläum
    Webcode
    yqpGitv7

    Dossiers

    » Mehr Dossiers

    Aktuelle Ausgabe

    Direkt in Ihren Briefkasten CHF 60.- » Magazin Abonnieren » Zum shop » Newsletter
    Back to top